Para crear una contraseña segura, hazla larga e impredecible: apunta al menos a 16 caracteres, o una frase de contraseña aleatoria de cuatro a seis palabras, generada por una herramienta en lugar de tu cerebro. La longitud supera a la mezcla de símbolos porque cada carácter extra multiplica el tiempo que un atacante necesita para descifrarla. El consejo que te dieron hace una década (una mayúscula, un número, un símbolo, ocho caracteres) ahora es exactamente el tipo de contraseña que las máquinas adivinan más rápido.
Esta guía te muestra cómo crear una contraseña segura de la manera en que los ingenieros de seguridad realmente lo hacen en 2026, y muestra las matemáticas para que puedas ver por qué. Aprenderás qué hace que una contraseña sea realmente difícil de descifrar, cómo funcionan realmente la entropía y el tiempo de descifrado, por qué una frase de contraseña que puedas recordar puede vencer a una cadena aleatoria que no puedes, y cómo generar contraseñas indescifrables en tu navegador sin confiar en un servidor con tus secretos.
¿Qué hace que una contraseña sea segura en 2026?#
Una contraseña segura es aquella que un atacante no puede adivinar, buscar o descifrar por fuerza bruta en un tiempo práctico. Tres factores lo determinan: su longitud, su aleatoriedad y si alguna vez se ha filtrado antes. Todo lo demás (mezclar símbolos, cambiar la E por 3, agregar un "!" al final) es principalmente teatro.
La razón es simple. Los atacantes no se sientan frente a una pantalla de inicio de sesión escribiendo suposiciones. Roban una base de datos de contraseñas cifradas y ejecutan miles de millones de intentos por segundo fuera de línea. Contra ese poder de cómputo, las únicas defensas que importan son la imprevisibilidad y la longitud.
Esto es lo que diferencia una contraseña segura de una débil:
- Longitud. Más caracteres significan exponencialmente más combinaciones. Esta es la palanca más importante que tienes.
- Aleatoriedad (entropía). Una contraseña elegida por un humano sigue patrones. Una contraseña generada aleatoriamente no. Los patrones son lo que el software de descifrado está diseñado para explotar.
- Singularidad. Una contraseña reutilizada en varios sitios es tan segura como el sitio menos seguro que la tiene. Una filtración compromete todas las cuentas.
- No filtrada anteriormente. Miles de millones de contraseñas reales se han filtrado. Si la tuya está en una lista, su fortaleza es cero, sin importar lo ingeniosa que parezca.
Verificación rápida: "P@ssw0rd!" cumple casi todas las reglas clásicas de complejidad (mayúsculas, minúsculas, números, símbolos) y es una de las primeras contraseñas que prueba cualquier diccionario de descifrado. Las reglas de complejidad no equivalen a seguridad.
Longitud vs Complejidad: Por qué gana la longitud#
Esta es la parte en la que la mayoría de las guías de contraseñas fallan, así que aquí tienes la prueba en lugar del eslogan. La fortaleza de una contraseña se mide en entropía, expresada en bits. Cada bit duplica el número de contraseñas posibles que un atacante debe probar. La fórmula es sencilla:
entropía (bits) = longitud × log2(tamaño del conjunto de caracteres)
El conjunto de caracteres es cuántos caracteres posibles puede tener cada posición. Solo minúsculas son 26. Agrega mayúsculas y obtienes 52. Agrega dígitos, 62. Agrega símbolos comunes, aproximadamente 95.
Ahora observa lo que sucede cuando intercambias complejidad por longitud. Compara dos contraseñas:
| Estilo de contraseña | Longitud | Conjunto | Entropía aproximada | Notas |
|---|---|---|---|---|
Tr0ub4d! | 8 | 95 (todos los tipos) | ~52 bits | La clásica contraseña compleja de 8 caracteres |
correcthorsebatterystaple | 25 | 26 (minúsculas) | ~117 bits si palabras aleatorias | Mucho más fuerte a pesar de no tener símbolos |
La contraseña "compleja" pierde por mucho. La longitud se multiplica en toda la contraseña, por lo que agregar caracteres aumenta la entropía mucho más rápido de lo que jamás podría hacerlo expandir el conjunto de caracteres. Duplicar tu longitud aproximadamente duplica tus bits. Agregar un conjunto de símbolos a una contraseña corta apenas mueve la aguja.
La regla práctica#
Deja de optimizar la variable equivocada. Una contraseña aleatoria de 12 caracteres está bien para cuentas de bajo riesgo. Una contraseña aleatoria de 16 caracteres es un valor predeterminado sólido. Para cualquier cosa que importe (correo electrónico, banca, tu gestor de contraseñas), usa más longitud o una frase de contraseña. La combinación de caracteres es secundaria a la longitud.
Esta es también la razón por la que un generador de contraseñas aleatorias que te permita aumentar la longitud a 20, 30 o 40 caracteres supera cualquier regla de "hazla compleja". La máquina no se aburre escribiendo, y tu gestor de contraseñas la recuerda por ti, así que la longitud no te cuesta nada.
La entropía y el tiempo de descifrado (en lenguaje llano)#
La gente dice "esta contraseña tardaría mil millones de años en descifrarse" sin mostrar de dónde sale el número. Aquí está la versión honesta, presentada como rangos porque la velocidad real de descifrado depende del hardware y del algoritmo de hash.
La velocidad de un atacante se mide en intentos por segundo. Una GPU moderna puede realizar miles de millones de intentos por segundo contra un hash rápido como MD5 o SHA-1 sin sal. Un atacante con recursos y un conjunto de GPUs puede alcanzar billones de intentos por segundo. Contra un hash lento y con sal adecuada (bcrypt, Argon2), ese mismo hardware podría manejar solo miles o decenas de miles de intentos por segundo, que es precisamente por lo que existen esos algoritmos.
El número promedio de intentos para descifrar una contraseña es la mitad del espacio total de claves, y el espacio de claves es 2 elevado a la entropía en bits. Así que el tiempo de descifrado escala de esta manera:
| Entropía | Combinaciones totales | Tiempo a 1 billón de intentos/segundo (hash rápido) |
|---|---|---|
| 40 bits | ~1 billón | Aproximadamente 1 segundo |
| 60 bits | ~1.15 trillones | Días a semanas |
| 80 bits | ~1.2 septillones | Decenas de miles de años |
| 100+ bits | astronómicamente grande | No descifrable en ningún plazo humano |
Algunas advertencias honestas para que esto sea real, no marketing:
- Estos números suponen que el atacante no conoce ya la contraseña por una filtración. Una contraseña filtrada se descifra en milisegundos sin importar su entropía.
- Un hash lento (bcrypt, Argon2) hace que cada fila de esta tabla sea drásticamente más lenta para el atacante, lo cual es bueno para ti pero está fuera de tu control.
- La columna de "1 billón de intentos/segundo" es aproximadamente el peor caso realista para un atacante individual de alto nivel contra un hash rápido y mal protegido. La mayoría de los objetivos reales son más lentos.
La conclusión práctica es: alrededor de 70 a 80 bits de entropía, una contraseña deja de ser descifrable por fuerza bruta para cualquier atacante realista. Tu trabajo es superar ese umbral, y lo logras más fácilmente con longitud.
Advertencia: la entropía solo cuenta si la aleatoriedad es real. Si eliges las palabras o caracteres tú mismo, introduces patrones que reducen la entropía efectiva muy por debajo de los cálculos anteriores. Deja siempre que un generador haga la elección.
Cómo crear una contraseña segura paso a paso#
Tienes dos buenas opciones: una cadena de caracteres aleatorios o una frase de contraseña aleatoria. Ambas funcionan. Elige la frase de contraseña cuando necesites memorizarla (tu contraseña maestra, el inicio de sesión de tu dispositivo). Elige la cadena aleatoria cuando un gestor de contraseñas la almacene y nunca la escribas a mano.
Paso 1: Decide si necesitas recordarla#
Si un gestor de contraseñas guardará la contraseña y la autocompletará, nunca tendrás que recordarla, así que usa una cadena larga aleatoria. Si debes escribirla de memoria (la contraseña que desbloquea tu gestor de contraseñas, el inicio de sesión de tu portátil, un PIN de dispositivo que no puedes almacenar en ningún lado), usa una frase de contraseña. La memorabilidad y la seguridad no son enemigas una vez que eliges la herramienta adecuada para cada trabajo.
Paso 2: Usa un generador, nunca tu imaginación#
Los humanos somos pésimos generadores de números aleatorios. Recurrimos a cumpleaños, nombres de mascotas, recorridos de teclado (qwerty, 1q2w3e) y las mismas tres sustituciones "inteligentes" que todos usan. Los diccionarios de craqueo se construyen precisamente a partir de estos hábitos humanos. Abre un generador de contraseñas seguro y deja que genere la aleatoriedad por ti. Uno bueno funciona completamente en tu navegador, por lo que el secreto generado nunca viaja a un servidor.
Paso 3: Establece una longitud de al menos 16 (o de 4 a 6 palabras)#
Para una cadena aleatoria, 16 caracteres es un mínimo sólido y 20 o más es mejor para cuentas de alto valor. Para una frase de contraseña, cuatro palabras es el mínimo práctico y cinco o seis palabras es cómodamente indescifrable cuando las palabras se eligen al azar de una lista grande. Ejemplo de una frase de contraseña generada aleatoriamente: cosecha-cuarzo-prado-tunel-llamarada. Cinco palabras no relacionadas, fáciles de visualizar, muy difíciles de adivinar.
Paso 4: Hazla única para esta cuenta#
Genera una contraseña nueva para cada cuenta. Nunca la reutilices. La reutilización es la debilidad más explotada en internet, porque los atacantes toman credenciales filtradas de un sitio vulnerado y las reutilizan en todos los demás (un ataque llamado relleno de credenciales). Una contraseña única por sitio significa que una filtración se limita a una cuenta.
Paso 5: Verifica su fortaleza antes de guardarla#
Antes de guardarla, haz una comprobación de cordura. Pégala en un verificador de fortaleza de contraseñas para ver la entropía estimada y el tiempo de craqueo, y para confirmar que no está en una lista de filtraciones conocidas. Una contraseña generada debería obtener una puntuación muy alta, pero la verificación también detecta si la modificaste manualmente y convertiste accidentalmente una contraseña fuerte en una adivinable.
Paso 6: Guárdala en un gestor de contraseñas y añade 2FA#
Guarda la contraseña en un gestor de contraseñas de confianza para que solo tengas que memorizar una frase de contraseña maestra fuerte. Luego activa la autenticación de dos factores (2FA) en cada cuenta que lo admita. Incluso una contraseña perfecta puede filtrarse; 2FA significa que una contraseña robada por sí sola no es suficiente para acceder.
Frases de contraseña: contraseñas seguras que realmente puedes recordar#
Una frase de contraseña son varias palabras aleatorias unidas, y es la mejor solución al problema de "seguro pero memorable". Funciona porque no memorizas 25 caracteres aleatorios, sino un puñado de palabras, pero la entropía proviene de cuántas palabras posibles podrían haber ocupado cada espacio.
El método probado es Diceware: tiras dados para elegir palabras de una gran lista estandarizada (la lista EFF tiene 7,776 palabras). Cada palabra elegida al azar añade unos 12,9 bits de entropía. Las matemáticas son claras:
- 4 palabras: unos 51 bits (decente, suficiente para bajo riesgo)
- 5 palabras: unos 64 bits (fuerte)
- 6 palabras: unos 77 bits (excelente, nivel de contraseña maestra)
- 7 palabras: unos 90 bits (excesivo para casi todos)
Las dos reglas que determinan el éxito de una frase de contraseña:
- Las palabras deben elegirse al azar, no por ti. "MiPerroAmaLaPizza" son cuatro palabras y casi sin entropía, porque un humano eligió una frase con significado.
vivid-anchor-pelican-rhubarbson cuatro palabras que un generador eligió entre miles, y ahí reside la fortaleza. - No la "arregles" para que parezca una contraseña. Añadir
123!al final apenas ayuda y dificulta recordarla. La aleatoriedad en la elección de palabras hace el trabajo pesado.
Una frase de contraseña aleatoria de cuatro a seis palabras es tan segura como una cadena larga aleatoria, pero mucho más fácil de escribir y recordar, por lo que los equipos de seguridad ahora la recomiendan para una o dos contraseñas que debas mantener en tu mente.
Lo que NIST realmente recomienda ahora#
El cambio más importante en las pautas de contraseñas provino de NIST, el organismo de estándares de EE. UU. cuyas recomendaciones moldean cómo las organizaciones serias construyen sistemas de inicio de sesión. La guía 2024-2025 (de la familia SP 800-63) revirtió gran parte de las viejas creencias. Si su departamento de TI aún aplica las reglas antiguas, esta es la razón por la que están desactualizadas.
Lo que NIST dice ahora:
- La longitud es la prioridad. Permita contraseñas largas (al menos 64 caracteres) y fomente la longitud sobre las reglas de composición.
- Elimine las reglas obligatorias de complejidad. Forzar una mayúscula, un número y un símbolo no mejora la seguridad de forma medible y empuja a las personas hacia patrones predecibles como
Password1!. - Deje de forzar cambios periódicos. La caducidad rutinaria de 90 días debilita las contraseñas, porque las personas hacen cambios pequeños y predecibles (
Spring2025se convierte enSummer2025). Solo fuerce un cambio si hay evidencia de compromiso. - Filtre contra listas de contraseñas filtradas. Bloquee contraseñas que se sabe que han sido filtradas, lo cual es mucho más importante que cualquier regla de complejidad.
- Permita todos los caracteres, incluidos espacios y emojis. Conjuntos más grandes, sin restricciones arbitrarias.
El hilo conductor es el mismo al que esta guía vuelve una y otra vez: la imprevisibilidad y la longitud superan al teatro de la complejidad. NIST se puso al día con lo que las matemáticas de entropía siempre mostraron.
| Consejo antiguo (folklore previo a 2020) | Lo que NIST recomienda ahora |
|---|---|
| Mínimo 8 caracteres | Contraseñas largas, 16+ en la práctica |
| Debe incluir mayúscula, minúscula, número, símbolo | Reglas de composición eliminadas |
| Cambiar cada 90 días | Solo cambiar si hay evidencia de compromiso |
| Preguntas de seguridad como respaldo | Usar 2FA en su lugar |
| Bloquear pegado de contraseñas | Permitir pegado para que funcionen los gestores |
Errores comunes en contraseñas seguras que debes evitar#
Incluso las personas que conocen las reglas caen en las mismas trampas. Presta atención a estas.
- Usar la misma contraseña "segura" en todos lados. Una obra maestra de 20 caracteres reutilizada en diez sitios está a una filtración de verse comprometida por completo. La seguridad no sobrevive a la reutilización.
- Patrones predecibles dentro de una contraseña larga.
Summer2025Summer2025es larga pero trivialmente adivinable. La longitud solo ayuda cuando es aleatoria. - Usar leetspeak como medida de seguridad.
P@$$w0rdno es significativamente más difícil de descifrar quepassword. Las herramientas de descifrado aplican estas sustituciones automáticamente. - Basarla en información personal. Nombres, cumpleaños, tu calle, tu equipo. Todo eso se puede extraer de redes sociales y se prueba primero.
- Confiar en el generador de un sitio web desconocido. Si un generador de contraseñas envía tu nueva contraseña a su servidor, estás confiando en extraños con un secreto. Prefiere uno que genere todo localmente en tu navegador.
- Saltarse la autenticación de dos factores porque la contraseña es "suficientemente segura". Ninguna contraseña es a prueba de filtraciones. La autenticación de dos factores es la red de seguridad que hace que una contraseña robada sea inútil por sí sola.
Conclusión: Cómo crear una contraseña segura de la manera correcta#
Aquí está todo resumido. Para crear una contraseña segura, deja de intentar ser ingenioso y confía en la longitud más la aleatoriedad real. Usa un generador. Apunta a 16 o más caracteres aleatorios cuando un gestor la almacene, o una frase de cuatro a seis palabras aleatorias cuando tengas que recordarla. Haz que cada contraseña sea única, verifícala contra listas de filtraciones y añade 2FA.
Ese enfoque alcanza los aproximadamente 70 a 80 bits de entropía donde la fuerza bruta deja de ser una amenaza práctica, y lo hace manteniendo memorables las una o dos contraseñas que debes recordar. Genera una ahora con el generador de contraseñas gratuito, confirma su fortaleza con el verificador de fortaleza de contraseñas, y si quieres profundizar en la cuestión de la longitud, nuestro análisis de cuánto debe medir una contraseña en 2026 detalla los números cuenta por cuenta.
Preguntas Frecuentes#
¿Cuánto debe medir una contraseña segura? Para una contraseña aleatoria guardada en un gestor, 16 caracteres es un valor predeterminado sólido y 20 o más es mejor para cuentas de alto valor como el correo electrónico y la banca. Para una frase de contraseña que memorices, de cuatro a seis palabras elegidas al azar funciona bien. La longitud importa mucho más que la variedad de caracteres, porque cada carácter adicional multiplica exponencialmente el trabajo del atacante.
¿Es una frase de contraseña realmente tan segura como una contraseña aleatoria? Sí, cuando las palabras son elegidas al azar por un generador y no por ti. Una frase de contraseña aleatoria de cinco palabras tiene aproximadamente 64 bits de entropía, lo que es indescifrable por fuerza bruta, y además es fácil de recordar. El problema es que las frases significativas elegidas por humanos como "AmoMiPerro2025" tienen casi cero entropía y nunca deben usarse.
¿Por qué la longitud es más importante que agregar símbolos? Porque la longitud se multiplica en toda la contraseña, mientras que el conjunto de caracteres no. Agregar un tipo de símbolo expande cuántos caracteres podría tener cada posición, pero agregar más caracteres multiplica las combinaciones totales muchas veces. Las matemáticas de entropía muestran que una contraseña larga solo con minúsculas supera a una corta "compleja" con mayúsculas, números y símbolos.
¿Necesito cambiar mis contraseñas cada pocos meses? No. La guía actual del NIST recomienda no usar fechas de vencimiento rutinarias porque empuja a las personas a variaciones predecibles, como cambiar un número al final. Solo cambia una contraseña cuando haya evidencia de que ha sido comprometida, como una notificación de filtración. Una contraseña fuerte y única no se debilita solo por estar sin usar.
¿Son seguros los generadores de contraseñas en línea? Son seguros si el generador se ejecuta completamente en tu navegador y nunca transmite la contraseña a un servidor. Un generador del lado del cliente calcula los caracteres aleatorios localmente, por lo que el secreto nunca sale de tu dispositivo. Evita cualquier herramienta que envíe tu nueva contraseña por la red y verifica el resultado en un comprobador de seguridad antes de guardarla.
¿Cuál es la contraseña más segura que puedo crear? La contraseña práctica más segura es una cadena larga y completamente aleatoria (20 o más caracteres de un conjunto amplio) o una frase de contraseña aleatoria de seis palabras, ambas producidas por un generador y no por tu imaginación. Más allá de unos 80 bits de entropía, la fuerza bruta se vuelve imposible en cualquier plazo humano, por lo que una mayor longitud es excesiva. Los riesgos mayores en ese punto son la reutilización, el phishing y las filtraciones, por lo que la unicidad y el 2FA importan tanto como la contraseña en sí.
